Um diploma digital é constituído de dois arquivos XML:
- XML Documentação Acadêmica: Dados privados do aluno para registro e emissão.
- XML Diplomado: Dados públicos do aluno para comprovação do grau educacional.
No diagrama abaixo é apresentado a estrutura geral dos principais arquivos e o fluxo da geração das assinaturas:
A partir da versão 1.04 dos Anexos I, II e III da Instrução Normativa - IN/SESU nº 1, de 15 de dezembro de 2020 ainda, são previstos os seguintes arquivos auxiliares:
- XML Histórico Escolar Digital: Dados do histórico escolar do aluno.
- XML Lista de Diplomas Anulados: Listagem de diplomas anulados pelas IES Registradoras.
- XML Arquivo de Fiscalização: Arquivo com informações de fiscalização a serem enviadas ao MEC.
Estes arquivos devem ser assinados digitalmente pelos responsáveis das IES utilizando certificado digital e carimbo do tempo de acordo com a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). Cada arquivo possui regras específicas de quais dados devem ser assinados.
De acordo com os artigos 4º e 13º da Instrução Normativa - IN/SESU nº 1, deve ser utilizada a assinatura eletrônica avançada no padrão XAdES (XML Advanced Electronic Signature) e seguindo o Padrão Brasileiro de Assinatura Digital (PBAD), além de adotar uma política de assinatura que permita a guarda de longo prazo do documento.
Desta forma, exceto nos casos onde houver a indicação explícita da política de assinatura AD-RA, recomendamos nas orientações abaixo o uso da política de assinatura ADRT, a qual irá adicionar um carimbo do tempo viabilizando a verificação da assinatura no longo prazo.
Vale ressaltar também que no Anexo I, é definido que a codificação dos caracteres serão em UTF-8, assim todos os documentos XML deverão ser iniciados com a seguinte declaração:
<?xml version="1.0" encoding="UTF-8"?>
A geração da assinatura de cada um dos envolvidos na confecção do diploma digital é realizada em três etapas principais:
- Inicialização da assinatura: definição dos atributos da assinatura.
- Acesso ao certificado: utilizar a chave privada do assinante para assinar os dados retornados do inicializar.
- Finalização da assinatura: montagem da estrutura completa da assinatura, incluindo carimbo do tempo e todas as referências para validação a longo prazo. O retorno da finalização é o XML assinado.
O passo 2 é realizado pela própria aplicação que está integrando com o serviço de assinatura. A chave privada do signatário pode estar acessível das seguintes formas:
- Navegador: através de uma extensão para acessar o repositório de certificados do computador ou dispositivo criptográfico.
- Nuvem: através da identificação e autorização do signatário. Acesse a imagem com os passos da geração de assinatura digital utilizando certificado em nuvem nesse link.
A figura a seguir mostra os passos da geração de assinatura digital utilizando certificado digital local (via extensão BRy):
O endpoints disponíveis permitem aos desenvolvedores da IES iniciar e agilizar a integração para geração de diplomas digitais. Porém em um segundo momento para otimizar o processo de assinatura, a BRy Tecnologia disponibiliza um pacote para que uma parte do serviço seja implantado na infraestrutura da própria IES. Este serviço mantém a mesma especificação desta API, ou seja, quando implantado basta apenas alterar a URL do serviço. Desta forma, os arquivos XML do diploma digital não são trafegados pela internet, otimizando desempenho e garantindo o sigilo do documento. Devido aos dados armazenados no XML da documentação acadêmica o tamanho do arquivo pode atingir até algumas dezenas de megabytes.